miércoles, 28 de junio de 2023

Jefe de seguridad de redes de una empresa de seguridad informática arrestado por hackear una empresa

Un especialista en ciberseguridad ruso buscado por Estados Unidos ha sido arrestado por funcionarios en Kazajstán, según su empleador, quien hizo el anuncio el miércoles. Al mismo tiempo, las autoridades de Moscú dijeron que también buscarán su extradición.

Según un comunicado emitido por la empresa , Nikita Kislitsin, empleada de la firma rusa de ciberseguridad FACCT, fue arrestada el 22 de junio. Las autoridades kazajas ahora están revisando una solicitud de extradición de los Estados Unidos de América. Nikita Kislitsin fue arrestada en 2012 y acusada de vender los nombres de usuario y contraseñas de clientes estadounidenses de la firma de redes sociales Formspring. Los hechos del arresto y el motivo del mismo no están claros; no obstante, se presentó el caso contra Kislitsin. Después de que Group-IB abandonara Rusia a principios de este año, el negocio derivado que se estableció allí y se denominó FACCT hizo que Kislitsin trabajara como jefe de seguridad de red para ambas empresas.

Según un comunicado publicado por Group-IB en Telegram, el arresto de Kislitsin no está relacionado con su empleo allí de ninguna manera. La FACCT dijo que las acusaciones presentadas contra Kislitsin se originaron en su época “como periodista e investigador independiente”, pero no pudieron revelar ninguna otra información. Kislitsin se desempeñó como editor en jefe de la publicación rusa “Hacker”, que se ocupa principalmente de la seguridad de la información y la piratería en un momento de su carrera.

En un procedimiento separado que tuvo lugar el miércoles, un tribunal de Moscú emitió una orden de arresto contra Kislitsin por acusaciones asociadas con el acceso ilegal a información informática confidencial. Rusia ha indicado que también exigiría su extradición desde Kazajstán.

Una vez que regrese a Rusia, Kislitsin puede evitar ser extraditado a los Estados Unidos, que es una estrategia que Rusia ha utilizado en el pasado. Por otra parte, el tabloide ruso Vedomosti dijo que un tribunal de Moscú había detenido a Kislitsin en ausencia por acusaciones de acceso no autorizado a material digital y que Rusia buscaría su extradición.

Según la agencia de noticias rusa RIA, se citó a la embajada rusa en Kazajstán afirmando que había solicitado que Astana no acelerara el proceso de extradición de Kislitsin a Estados Unidos.

El cargo Jefe de seguridad de redes de una empresa de seguridad informática arrestado por hackear una empresa apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 27 de junio de 2023

Cómo evitar la detección de malware por parte de EDR Antivirus e inyectar código en procesos confiables de Windows

Mockingjay es el nombre de una técnica innovadora de inyección de procesos que tiene el potencial de permitir que los actores de amenazas eviten ser detectados por EDR (Detección y respuesta de punto final). La inyección de procesos es un método bien conocido que utilizan el software malicioso y los atacantes para introducir y ejecutar código en el área de memoria de un proceso. Esto se puede lograr insertando el código directamente en el proceso mismo. El origen de esta inyección puede ser el proceso que lleva a cabo la operación en sí (conocido como autoinyección) u otro proceso completamente. Para obtener acceso ilegal, controlar el comportamiento del proceso o enmascarar el código inyectado de las herramientas de seguridad y los defensores, los atacantes suelen apuntar a procesos legítimos cuando inyectan código en uno externo, como ejecutar aplicaciones o procesos del sistema.
Un atacante utilizará una colección de API de Windows, cada una de las cuales está diseñada para realizar una función específica dentro de la lógica de inyección, para inyectar y ejecutar código en la memoria. Esto se puede hacer dentro del mismo proceso o dentro de un proceso remoto. Dependiendo de la base tecnológica del enfoque de inyección de código que se utilice, puede haber una diferencia en la cantidad de llamadas a funciones que se realizan, así como las API de Windows exactas que se utilizan.

Los métodos típicos para la inyección de procesos incluyen la inyección de biblioteca de enlaces dinámicos (DLL), la inyección de ejecutables portátiles, el secuestro de ejecución de subprocesos, el vaciado de procesos y la duplicación de procesos, entre otros. Algunos de estos métodos son más conocidos que otros.

Es importante tener en cuenta que cada una de estas técnicas necesita una combinación de llamadas al sistema particulares y API de Windows para llevar a cabo la inyección. Esto permite a los defensores construir procesos adecuados de detección y mitigación, algo que no debe pasarse por alto.

Se han creado varios enfoques diferentes a lo largo del tiempo para lograr los objetivos de inyección y ejecución de código dentro del área de memoria de los programas que se ejecutan en Windows. Las técnicas de Inyección de Proceso más frecuentes se describen y contrastan en la siguiente tabla, que sirve de referencia según la empresa Joes Security. La tabla está organizada de acuerdo con las llamadas a la API de Windows que son necesarias para la implementación efectiva de los métodos.

Mockingjay se distingue de otros programas por el hecho de que elude estas capas de seguridad. Lo hace eliminando el requisito de ejecutar interfaces de programación de aplicaciones (API) de Windows, que normalmente son monitoreadas por soluciones de seguridad. En su lugar, utiliza archivos ejecutables portátiles de Windows preexistentes que ya vienen con un bloque de memoria que está protegido con permisos de lectura, escritura y ejecución (RWX).

Esto, a su vez, se logra con la ayuda de msys-2.0.dll, que viene con un “generoso espacio RWX disponible de 16 KB”, lo que lo convierte en un excelente candidato para cargar código malicioso y pasar desapercibido al mismo tiempo. Dicho esto, es importante resaltar la posibilidad de que haya DLL más vulnerables que tengan cualidades comparables.

La empresa dijo que investigó dos enfoques distintos, conocidos como autoinyección e inyección remota de procesos, para realizar la inyección de código de una manera que no solo mejorara la efectividad del ataque sino que también evadiera la detección.

El primer método implica el uso de un programa especializado para cargar directamente la DLL vulnerable en el espacio de direcciones de la aplicación, lo que luego permite que la sección RWX finalmente lleve a cabo la ejecución prevista del código. Por el contrario, la inyección de procesos remotos implica el uso de la sección RWX de una DLL vulnerable para llevar a cabo la inyección de procesos en un proceso remoto como ssh.exe. Esto se puede lograr aprovechando la DLL vulnerable.

La particularidad de este enfoque radica en el hecho de que no es necesario asignar memoria, establecer permisos o crear un nuevo subproceso dentro del proceso de destino para iniciar la ejecución de nuestro código inyectado. Es difícil para EDR para identificar esta táctica ya que difiere de otras estrategias utilizadas actualmente.

El cargo Cómo evitar la detección de malware por parte de EDR Antivirus e inyectar código en procesos confiables de Windows apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 26 de junio de 2023

Hackear servidores de Grafana usando Azure AD es posible

Se descubrió que uno de los sistemas de código abierto más populares para análisis y visualización, Grafana , tenía una falla de seguridad que proporciona instalaciones de nivel, y proporciona herramientas para el análisis y la visualización de datos que son fáciles de usar y estéticamente agradables.

El problema de seguridad, al que se le asignó el identificador CVE-2023-3128 y recibió una puntuación de 9,4 sobre 10 en la escala CVSS de gravedad, tiene el potencial de permitir que un adversario eluda los protocolos de autenticación y obtenga el control de la cuenta de un usuario. En su forma más básica, la vulnerabilidad CVE-2023-3128 en Grafana permite eludir la autenticación o hacerse cargo de la cuenta de otro usuario. El método de validación que utiliza Grafana es la causa principal de esta vulnerabilidad. Grafana puede verificar específicamente las cuentas de Azure Active Directory (Azure AD) en función de su notificación de correo electrónico cuando se usa en combinación con Azure Active Directory (Azure AD) OAuth. Aquí es donde radica la dificultad. Debido a que no se garantiza que la dirección de correo electrónico utilizada en el cuadro de perfil sea única en todos los inquilinos de Azure AD,

El alcance de las posibles repercusiones de esta vulnerabilidad es amplio y preocupante. Al explotar este vulnerabilidad, los atacantes pueden tomar el control total de la cuenta de un usuario, dándoles acceso a datos confidenciales del cliente, así como a otra información importante.

La vulnerabilidad es más frecuente en las instalaciones de Grafana que usan Azure AD OAuth y están configuradas con una aplicación Azure AD OAuth de varios inquilinos, pero no tienen una opción allow_groups. Es imperativo que actúe rápidamente si está utilizando una versión de Grafana que es 6.7.0 o posterior.

El equipo de desarrollo de Grafana reaccionó rápidamente a este problema urgente parcheando la vulnerabilidad en las versiones 10.0.1, 9.5.5, 9.4.13, 9.3.16, 9.2.20 y 8.5.27 respectivamente. Está seguro siempre que la versión de Grafana que esté utilizando sea una de estas o una posterior.

Pero, ¿qué pasa si una actualización no es algo que se pueda hacer de inmediato? La buena noticia es que existen estrategias de mitigación que se pueden implementar. En primer lugar, puede asegurarse de que un usuario que inicie sesión también pertenezca a un grupo en Azure AD agregando un parámetro allow_groups a su configuración de Azure AD. Debido a este paso, la posibilidad de que un atacante use un correo electrónico arbitrario se ha reducido significativamente.

Alternativamente, el vector de ataque puede eliminarse de manera efectiva registrando una aplicación de inquilino único en Azure Active Directory. Esto elimina la posibilidad de suplantación entre inquilinos, que es el vector de ataque.

El cargo Hackear servidores de Grafana usando Azure AD es posible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 23 de junio de 2023

Microsoft Teams permite enviar malware para hackear a alguien a través de esta vulnerabilidad

Cualquier usuario que tenga una cuenta de Microsoft puede comunicarse con “destinatarios externos” mediante el uso de Microsoft Teams. Cualquier empresa u organización que haga uso de Microsoft Teams califica como una tenencia externa para los fines de esta discusión.

Los miembros del Red Team de la empresa de servicios de seguridad Jumpsec investigaron un poco y encontraron un medio para enviar malware a través de Microsoft Teams mientras usaban una cuenta que no estaba afiliada a la empresa objetivo.

Los usuarios de Microsoft Teams pueden comunicarse con los usuarios de otro destinatarios de Microsoft gracias al hecho de que cada una de estas organizaciones tiene su propio arrendamiento de Microsoft. Cuando se hace esto, aparece un banner que dice “Externo” junto al nombre, como se ve en el siguiente ejemplo.

A diferencia de cuando envía mensajes de texto a miembros de su propio empresa, no puede transmitir archivos a miembros del personal de otras organizaciones mientras usa la mensajería. Vea la diferencia en lo siguiente:

Cuando la carga útil se envía de esta manera, en realidad se aloja en un dominio de Sharepoint y el objetivo la obtiene directamente desde esa ubicación. La bandeja de entrada del destinatario, por otro lado, lo verá como un archivo en lugar de un enlace al archivo.

El hecho de que esto elude prácticamente todos los mecanismos de seguridad antiphishing contemporáneos enumerados en la introducción de esta advertencia lo convierte en un canal potencialmente rentable para que los actores de amenazas entreguen cargas útiles. 

Para empezar, comprar y registrar un dominio que sea muy similar a sus organizaciones objetivo utilizando M365 es un proceso bastante básico. Elimina la necesidad de utilizar dominios maduros, que requieren servidores web, páginas de destino, CAPTCHA, categorización de dominios y filtrado de URL.

En segundo lugar, evita el comportamiento ahora justificadamente arriesgado de hacer clic en un enlace en un correo electrónico, que es algo que los miembros del personal han recibido instrucciones de evitar durante años. Esto reduce drásticamente la posibilidad de que un miembro del personal reconozca esto como un ataque de phishing. La carga útil ahora será suministrada por un dominio confiable de Sharepoint y llegará en forma de un archivo en la bandeja de entrada que está asociada con la cuenta de Teams del objetivo. Como resultado, la carga útil no se considera un sitio web de phishing malicioso, sino uno que hereda la reputación de confianza de Sharepoint.

Finalmente, cuando esta vulnerabilidad se combina con la ingeniería social a través de Teams, es bastante simple comenzar un chat, participar en una llamada, compartir pantallas y hacer una variedad de otras cosas. Cuando se compara, hace que la ingeniería social a través del correo electrónico parezca más bien obsoleta e intermitente en lugar de dinámica. Cuando pone en práctica esta estrategia en un compromiso real, puede preguntarle al objetivo, bajo la apariencia de un especialista en TI, si estaría dispuesto a unirse a una llamada para que podamos instalar algunos parches de software urgentes. Una vez en la llamada, esta vulnerabilidad podría usarse para enviar una carga útil, y cuando se combina con un ataque integral de ingeniería social, la víctima, sin darse cuenta, le otorgaría confianza implícita al atacante.

Microsoft fue notificado de esta vulnerabilidad, y aunque la compañía confirmó que es real, dijo que “no cumplió con el estándar para el servicio inmediato”.

El cargo Microsoft Teams permite enviar malware para hackear a alguien a través de esta vulnerabilidad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 22 de junio de 2023

Hackear con Cisco Secure Client y AnyConnect Secure Mobility Software para convertirse en administrador

AnyConnect Secure Mobility Client Software para Windows y Cisco Secure Client Software para Windows incluyen una vulnerabilidad de alta gravedad y se ha hecho público un código de ataque de prueba de concepto para explotar el problema. Se recomienda encarecidamente a los usuarios que aún no hayan aplicado el parche que lo hagan lo antes posible para evitar ser explotados. En el pasado, los actores malintencionados intentaron aprovechar las vulnerabilidades del software de cliente seguro de Cisco que no estaban reparadas.

Los administradores de TI utilizan Cisco Secure Client Software como una herramienta de administración de terminales. Este software es una solución de acceso remoto que permite a los trabajadores conectarse a la red desde cualquier lugar a través de una Red Privada Virtual. Los administradores de TI utilizan Cisco Secure Client Software. La vulnerabilidad, a la que se le ha asignado el número de seguimiento CVE-2023-20178, tiene una puntuación base de 7,8 en la escala CVSS.

Filip Dragovi, un investigador de seguridad, descubrió la vulnerabilidad de eliminación arbitraria de archivos y se la informó a Cisco. Dragovi también lanzó el código de ataque de prueba de concepto (PoC) que puede usarse para explotar el problema.

Según la explicación de Dragovi, esta prueba de concepto se probó con Cisco Secure Client (probado en la versión 5.0.01242) y Cisco AnyConnect (probado en la versión 4.10.06079).

El investigador explica que “cuando un usuario se conecta a vpn, el proceso vpndownloader.exe se inicia en segundo plano” y que “creará [un] directorio en c:windowstemp con permisos predeterminados en [el] siguiente formato: números aleatorios> .tmp.”

“Después de establecer este directorio, vpndownloader.exe verificará si ese directorio está vacío. si no es así, vpndownloader.exe eliminará todos los archivos y carpetas que se encuentran dentro de ese directorio. Este comportamiento tiene el potencial de ser explotado para eliminar archivos arbitrarios cuando se inicia sesión como la cuenta del SISTEMA NT Authority.

Usando el método descrito en este artículo, el atacante puede escalar sus privilegios generando un shell del SISTEMA a través de la eliminación de archivos arbitrarios aprovechando el comportamiento del instalador de Windows y el hecho de que se lleva a cabo un procedimiento de actualización del cliente después de cada VPN exitosa. conexión. Esto permite al atacante obtener control total sobre el sistema.

Esta vulnerabilidad puede ser aprovechada por un atacante local autorizado para elevar sus privilegios al nivel del SISTEMA. El problema afecta el proceso de actualización del cliente. La vulnerabilidad se debe a permisos incorrectos en un directorio temporal que se genera mientras se ejecuta el proceso de actualización. La vulnerabilidad puede aprovecharse mediante el uso indebido de un componente particular del proceso de instalación de Windows. Un ataque que aprovecha la vulnerabilidad no es complicado y no necesita ningún esfuerzo por parte del usuario.

No hay otra forma de evitar la vulnerabilidad; instalar el parche es el único método para curarlo y evitar que sea explotado. El 13 de junio de 2023, se puso a disposición un parche para corregir la vulnerabilidad y, en el momento de su lanzamiento, no se conocían casos en los que alguien hubiera explotado la vulnerabilidad. AnyConnect Secure Mobility Client para Windows 4.10MR7 y Cisco Secure Client para Windows 5.0MR2 tienen correcciones para la vulnerabilidad descubierta.

El cargo Hackear con Cisco Secure Client y AnyConnect Secure Mobility Software para convertirse en administrador apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 21 de junio de 2023

Por qué alguien hackeo los datos personales de los empleados del fabricante de galletas Oreo?

Mondelez Global LLC, la empresa matriz de las galletas Oreo y otros productos alimenticios importantes, emitió una notificación que indica que el fabricante de galletas Oreo ha sido hackeado y que la empresa se ha visto obligada a lidiar con una violación de datos que incluye una serie de datos personales de diferentes personas. Mondelez International es una empresa Fortune 500 que actualmente ocupa el puesto 108. En el año 2021, reportaron ingresos de $28,72 mil millones anuales. Hacen negocios en más de 150 países y tienen más de 79.000 trabajadores en ubicaciones de todo el mundo.

Bryan Cave, que es una empresa de apoyo legal para Mondelez, informó que el acceso ilegal a los sistemas se descubrió entre el 27 de febrero de 2023 y el 1 de marzo de 2023. Esto ocurrió dentro de ese período de tiempo. Ahora se están llevando a cabo investigaciones y las autoridades pertinentes han sido notificadas de la situación. Cabe aclarar que los delincuentes no ingresaron a la red informática de Mondelez; más bien, piratearon la red de Bryan Cave Leighton Paisner LLP. Además, dado que Bryan Cave era uno de los proveedores de servicios legales de Mondelez, la firma tuvo acceso y pudo hacer copias de información personal confidencial sobre empleados actuales y anteriores de Mondelez.

“Tenga en cuenta que este incidente no ocurrió ni afectó los sistemas o redes de Mondelez de ninguna manera”, dijo la compañía multinacional de bocadillos en la carta de violación de seguridad que envió a 51,110 personas el viernes.

El descubrimiento de una segunda instancia de acceso no autorizado a los sistemas se realizó el 24 de marzo de 2023, 23 días antes del descubrimiento de la primera brecha.

Los datos que se tomaron durante estas infracciones ahora son objeto de una investigación y su pérdida aún no se ha verificado.

Las notificaciones del incidente ya se están distribuyendo a los trabajadores que pueden haber sido afectados, y la firma está trabajando para tomar las medidas adecuadas.

La información sobre los empleados incluye lo siguiente:

Nombre, incluyendo apellido, SSN, dirección, fecha de nacimiento, estado civil y género, así como el número de identificación del empleado y el plan de Retiro de Mondelez


Como parte de la investigación en curso sobre este incidente, Bryan Cave y Mondelez están colaborando con miembros de las fuerzas del orden público e investigadores de seguridad cibernética. También afirmaron que han implementado una serie de precauciones de seguridad para evitar que ocurran incidentes de este tipo en el futuro. Mondelez está brindando a los consumidores afectados acceso gratuito a Experian Identity Works Credit Plus 1B por un período de dos años como una forma de enmendar la violación de datos que ocurrió.

El cargo ¿Por qué alguien hackeo los datos personales de los empleados del fabricante de galletas Oreo? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 20 de junio de 2023

La empresa de ciberseguridad Norton Lifelock se convierte en víctima de ransomware Que dios salve a los clientes!

La organización de hackers conocida como Cl0p ha dicho que son responsables de entrar en varias organizaciones educativas y gubernamentales, incluida la Universidad de Georgia. Ahora, la organización de hackers se ha atribuido la responsabilidad de irrumpir en Norton Lifelock, que es un servicio que se utiliza para salvaguardar el crédito de las personas después de que su identidad ha sido robada. El ataque utilizó una vulnerabilidad de día cero en el software de transferencia de archivos administrados (MFT) MOVEit Transfer que Progress Software informó el 31 de mayo. El atacante aprovechó la vulnerabilidad. Gen Digital, la empresa responsable de conocidas marcas de ciberseguridad como Avast, Avira, AVG, Norton, y LifeLock, reconoció el efecto del ataque de ransomware y reveló que los atacantes comprometieron la información personal de los trabajadores. Esta información incluye nombres, residencias, fechas de nacimiento y direcciones de correo electrónico comerciales.

La empresa confirmó que han solucionado todas las vulnerabilidades identificadas en el sistema y utilizan MOVEit para nuestras necesidades de transferencia de archivos. Tan pronto como se dieron cuenta de esta situación, tomaron medidas inmediatas para salvaguardar su ecosistema y evaluar las implicaciones de cualquier posible lluvia radiactiva. Han verificado que no hubo ningún efecto en nuestros sistemas o servicios de tecnología de la información esenciales, y que no se hizo público ningún dato relacionado con clientes o socios. Desafortunadamente, algunos empleados y trabajadores eventuales de Gen vieron comprometida parte de su información personal, que incluye información como sus nombres, direcciones de correo electrónico corporativas, números de identificación de empleados y, en algunos casos aislados, sus domicilios y fechas de nacimiento. Inmediatamente comenzaron una investigación sobre la amplitud del problema,

Independientemente, pudimos confirmar que el sitio web oscuro operado por Cl0p incluía una lista de Norton Life Lock como una de las víctimas más recientes del grupo. En el sitio web, Cl0p escribe lo siguiente sobre Norton: “¡A la empresa no le importan sus clientes, ignoró su seguridad!”.

La revelación de día cero de MOVEit condujo al descubrimiento de otros dos problemas de inyección SQL de gravedad crítica en el programa MFT. Estos errores fueron designados como CVE-2023-35036 y CVE-2023-35708 respectivamente.

Progress Software ha recomendado a los usuarios que implementen actualizaciones para ellos lo antes posible, aunque ninguno de ellos ha sido explotado en ataques hasta el momento. Esto es para evitar el acceso no autorizado al entorno de MOVEit Transfer.

El cargo La empresa de ciberseguridad Norton Lifelock, se convierte en víctima de ransomware, ¡ Que dios salve a los clientes! apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Cómo hackear y rastrear la ubicación de un celular a través de mensajes SMS silenciosos

Los informes de entrega de SMS no solo informan al remitente que el mensaje se entregó con éxito, sino que también tienen el potencial de proporcionar la ubicación del receptor. Esto es lo que los investigadores han demostrado en su trabajo más reciente, que muestra cómo recibir un mensaje SMS silencioso activa un ataque de canal lateral, lo que permite al remitente estimar la posición del receptor en función del tiempo de los mensajes recibidos por el destinatario. Investigadores de diversas universidades colaboraron en el desarrollo de un innovador ataque de canal lateral que revela el paradero de los usuarios a través de SMS. Aprovechar los informes de envío de SMS parece ser la técnica de ataque, según la información que se presentó en su documento de estudio. Un remitente puede estimar la ubicación del receptor en varias naciones con una precisión de hasta el 96 % utilizando las estadísticas que se adquirieron de los tiempos de estos intercambios de mensajes. La explotación de las vulnerabilidades centrales de la red GSMA, que son lo que impulsa la tecnología detrás de los mensajes SMS, es el objetivo principal de este ataque.

Este ataque de canal lateral afecta a casi todas las redes celulares en todo el mundo, ya que generalmente se dirige a GSMA. A pesar de la disponibilidad de otras opciones de comunicación, como 3G y 4G, los investigadores estaban interesados en estudiar los SMS debido a su prevalencia como forma de comunicación 2G entre el público en general. Los investigadores observaron que los informes de entrega de SMS que se crean inevitablemente después de recibir un mensaje SMS provocan la activación de un vector de ataque de tiempo. Conocer los tiempos de entrega del mensaje y estimar el intervalo de tiempo entre el envío y la recepción del mensaje puede ayudar al remitente a establecer la ubicación del receptor si el remitente ha habilitado los informes de entrega de SMS. debido a la forma en que funciona la función Informes de entrega de SMS, el usuario del destinatario no puede prohibir el uso dañino de esta herramienta ya que está fuera del control del destinatario. El enfoque, en su forma más básica, hace uso de las firmas temporales asociadas con un sitio en particular.

Cuanto más exactos sean los datos que tiene el atacante sobre el paradero de sus objetivos, más precisos serán los resultados de clasificación de ubicación que proporcionará el modelo ML para sus predicciones cuando llegue a la fase de ataque. El atacante solo puede obtener los datos enviando varios mensajes SMS al objetivo, ya sea disfrazándolos como comunicaciones de marketing que el objetivo ignoraría o descartaría como spam o utilizando mensajes SMS silenciosos. Un SMS silencioso es un mensaje de “tipo 0” que no tiene contenido y no crea ninguna alerta en la pantalla del dispositivo de destino; no obstante, su recepción sigue siendo confirmada por el dispositivo en el SMSC. Los autores de la investigación realizaron sus estudios utilizando ADB para enviar ráfagas de 20 SMS silenciosos cada hora durante tres días a varios dispositivos de prueba ubicados en los Estados Unidos, los Emiratos Árabes Unidos y siete países europeos. Este experimento abarcó diez operadores diferentes y una amplia gama de tecnologías de comunicación y diferencias generacionales.

Mediante el envío de mensajes SMS al usuario objetivo en una variedad de momentos y lugares diferentes, un adversario puede adquirir numerosas firmas de tiempo asociadas con la persona. El remitente puede determinar la ubicación del destinatario al analizarlo en un momento posterior. Para llevar a cabo este ataque, el adversario solo necesita estar en posesión del número de teléfono celular de la víctima a la que apunta. A pesar de que es un proceso que requiere mucho tiempo, la recopilación y el análisis de las firmas de tiempo del usuario objetivo puede proporcionar a un adversario la capacidad de descubrir una ubicación nueva o previamente desconocida del individuo al que se dirigen. Esto funciona correctamente independientemente de la ubicación del usuario, ya sea en los Estados Unidos o en cualquier otra parte del mundo. La cantidad de tiempo que transcurre entre el envío de un SMS y su recepción puede ser útil aquí.

Aunque los investigadores pudieron alcanzar un alto nivel de precisión al realizar su ataque de canal lateral, tiene algunos inconvenientes. Esto se debe al hecho de que hay una variedad de variables que pueden influir en las mediciones empíricas en un exploit del mundo real. Incluso en una situación hipotética en la que el globo esté bloqueado, la precisión aún inalcanzable de más del 90 por ciento presenta un riesgo para la privacidad de las personas. En cuanto a las contramedidas, los investigadores notaron que las actuales para evitar ataques similares no se aplican a este ataque de canal lateral único. Esto se debe a que el nuevo ataque utiliza un canal lateral que no se presenta en los ataques relacionados.

No entregar informes de entrega o alterarlos con un retraso aleatorio también son tácticas potenciales que podrían usarse en la lucha contra los retrasos en el procesamiento de UE. En cuanto a los retrasos causados por la propia red, la modificación de los tiempos de los SMS, la instalación de filtros de spam en la red central o, al menos, la desactivación de los mensajes silenciosos ayudará a reducir la probabilidad de que ocurra un ataque de este tipo. Sin embargo, apagar el componente que genera informes de entrega puede ser la única acción preventiva práctica. Antes de poner este estudio a disposición del público en general, los investigadores actuaron de manera apropiada e informaron a GSMA sobre la situación. En respuesta, la GSMA aceptó sus resultados (que recibieron el identificador CVD-2023-0072) y evaluó una variedad de acciones preventivas.

El cargo Cómo hackear y rastrear la ubicación de un celular a través de mensajes SMS silenciosos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 19 de junio de 2023

Azure DDoS Protección no pudo proteger a Microsoft Cómo protegerá a los clientes?

En las últimas semanas, un colectivo de hackers que se autodenomina Anonymous Sudan ha sido responsable de lanzar ataques distribuidos de denegación de servicio ( DDoS ) en varios servicios de Microsoft, incluidos Outlook, OneDrive y Microsoft Azure, entre otros. Estos eventos de ataque, que normalmente duraban entre una y dos horas, tuvieron éxito en su objetivo de paralizar los servicios de Microsoft mientras se llevaban a cabo. Sin embargo, antes de esto, Microsoft casi siempre atribuía estas irregularidades a problemas dentro de los propios sistemas de la empresa y no a intrusiones de hackers.

El grupo conocido como Anonymous Sudan no tiene mala voluntad contra Microsoft, lo cual es la clara explicación de sus actividades. El único propósito detrás de ellos es llamar la atención de la gente. Como consecuencia de esto, Microsoft tenía muy pocas posibilidades de reconocer públicamente este hecho, ya que hacerlo jugaría directamente en las manos de los hackers.

Sin embargo, como resultado de la continuación de los ataques en el tiempo, Microsoft ya no pudo ocultar los hechos. Al final, admitieron que, de hecho, un ataque cibernético había causado interrupciones en los servicios en la nube que brindaban. Esta pandilla de hackers se conoce con el nombre de Storm-1359, que les fue otorgado por el equipo de seguridad de Microsoft. Al final, Microsoft llegó a reconocer los ataques DDoS de los que Anonymous Sudan era responsable, lo que provocó irregularidades en los servicios en la nube de Microsoft.

Según los hallazgos del análisis compilado por el equipo de seguridad de Microsoft, la séptima capa fue el objetivo principal de los ataques DDoS orquestados por Storm-1359, en lugar de la tercera o cuarta capa. Como resultado directo de esto, Microsoft reforzó las defensas de la séptima capa, lo que incluyó realizar modificaciones en Azure Web Firewall (WAF), para proteger a los usuarios de los efectos colaterales de los ataques DDoS.

“A partir de la primera parte de junio de 2023, Microsoft vio picos en la cantidad de tráfico dirigido a algunos servicios, lo que interrumpió momentáneamente la disponibilidad. Luego de la apertura oportuna de una investigación, Microsoft reconoció que comenzó a monitorear la actividad continua de DDoS por parte del actor de amenazas conocido como Storm-1359. “Microsoft rastrea a este actor de amenazas”, dijo Microsoft.

Para llevar a cabo sus ataques, que incluían ataques de inundación HTTP y HTTPS, Storm-1359 hizo uso de una serie de botnets y herramientas diferentes. Aprovecharon los protocolos de enlace SSL/TLS de alta capacidad y las solicitudes HTTPS para sobrecargar completamente la infraestructura.

En el caso en que Microsoft era la víctima prevista, el malware Storm-1359 inundó el sistema con millones de solicitudes HTTP/HTTPS por segundo procedentes de direcciones IP de todo el mundo, lo que provocó que el sistema se saturara. Además, Storm-1359 utilizó las tecnologías Cache Bypass para evitar ser almacenado en caché por la CDN. Hizo esto mediante el uso de una serie de solicitudes para abrumar a los sistemas que alimentaban la CDN.

Además, los atacantes utilizaron una herramienta llamada Slowloris, que es un ataque de denegación de servicio, que obligaba al cliente a realizar una solicitud de recursos del servidor pero no comprobaba que el cliente hubiera recibido los recursos solicitados. Esta estrategia obligó al servidor a mantener una conexión abierta y mantener los recursos en la memoria durante el mayor tiempo posible.

Las botnets son, con diferencia, las más importantes. Para llevar a cabo sus ataques, los ciberdelincuentes hacían uso de varios servidores privados virtuales (VPS), proxies, servidores en la nube contratados y herramientas DDoS; pero las botnets siguieron siendo su principal fuente de poder. Estas redes de bots tienen una cantidad infinita de direcciones IP, lo que les permite frustrar constantemente los procedimientos de bloqueo implementados por Microsoft. De hecho, una interceptación integral es bastante difícil de lograr teniendo en cuenta la gravedad de estos ataques. Por otro lado, Storm-1359 parece haber cesado temporalmente sus esfuerzos en Microsoft.

El cargo Azure DDoS Protección no pudo proteger a Microsoft, ¿Cómo protegerá a los clientes? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 16 de junio de 2023

Nueva y tercera vulnerabilidad de día cero del software MOVEit utilizada para hackear empresas

La innovadora empresa de desarrollo de software Progress descubrió una grave falla de seguridad dentro de su producto MOVEit Transfer. La falla podría permitir que un atacante robe información confidencial. Esta vulnerabilidad se identificó en Progress Moveit Transfer y tiene el potencial de permitir privilegios más altos, así como acceso no permitido. MOVEit Transfer es un programa de transferencia de archivos gestionado que permite a la organización transmitir datos de forma segura entre socios comerciales y clientes mediante cargas basadas en SFTP, SCP y HTTP. El producto fue desarrollado por MOVEit. Un atacante podría entonces instalar programas; leer, modificar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario; dependiendo de los privilegios conectados con el usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema pueden verse menos afectados por el cambio que los usuarios que operan con derechos de usuario administrativos porque las cuentas de esos usuarios están configuradas para tener menos derechos de usuario en el sistema. Una vulnerabilidad de inyección SQL es incluido dentro de la falla recién descubierta, a la que se le ha dado el identificador CVE-2023-35708. Este tipo de vulnerabilidades pueden servir como puntos de entrada a mayores privilegios, abriendo la puerta a la posibilidad de acceso no autorizado al entorno del usuario. El progreso llegó a la conclusión de que el mejor curso de acción sería detener temporalmente el tráfico HTTP para MOVEit Cloud como una reacción agresiva a la vulnerabilidad inesperada. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress.

Progress recomienda enfáticamente realizar un ajuste temporal a las reglas del firewall en el ínterin antes de la entrega de actualizaciones de seguridad para las versiones afectadas de MOVEit Transfer. Esta contramedida eficaz incluiría el bloqueo de las conexiones HTTP y HTTPS a MOVEit Transfer en los puertos 80 y 443, respectivamente. Como resultado directo de esto, se interrumpiría el acceso del usuario a través de la interfaz de usuario web; sin embargo, las transferencias de archivos continuarían funcionando correctamente como resultado del funcionamiento continuo de los protocolos SFTP y FTP/s.

La capacidad de acceder a MOVEit Transfer a través del servidor de Windows todavía está disponible para los administradores, y pueden hacerlo conectándose de forma remota y navegando a la dirección https://localhost/.

Solo ha pasado una semana después de que Progress revelara otro conjunto de vulnerabilidades de inyección SQL que se rastrean con el nombre CVE-2023-35036, y ahora ha surgido una exposición a una posible explotación cibernética conocida como CVE-2023-35708. Según los informes, estas vulnerabilidades brindan una oportunidad importante para que los usuarios no autorizados accedan al contenido de la base de datos de la aplicación.

La reconocida vulnerabilidad CVE-2023-34362, que fue utilizada como un día cero por el sindicato de ransomware Clop en sus embestidas de robo de datos, se ha agregado a la lista de vulnerabilidades.

Una investigación realizada por expertos para analizar la superficie de ataque de los dispositivos conectados a Internet encontró que el sector de servicios financieros alberga aproximadamente el 31 por ciento de los más de 1400 hosts vulnerables que ejecutan MOVEit. La industria de la tecnología de la información ocupa el segundo lugar con un 9 %, seguida por los sectores gubernamental y militar, que representan un 8 %, y la industria de la salud, que ocupa el tercer lugar con un 16 %. El hecho de que más del 80% de estos servidores estén ubicados en los Estados Unidos es bastante preocupante y destaca el alcance generalizado de esta vulnerabilidad.

RECOMENDACIONES :

Además de las sugerencias de medidas correctivas realizadas por Progress, sugerimos que se lleven a cabo las siguientes actividades:

Apague todo el tráfico a su entorno de MOVEit Transfer que usa HTTP y HTTPS hasta que haya una solución disponible.
En los sistemas que son susceptibles, inmediatamente después de realizar las pruebas adecuadas, aplique los parches necesarios y las soluciones provisionales proporcionadas por Progress.

El cargo Nueva y tercera vulnerabilidad de día cero del software MOVEit utilizada para hackear empresas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 15 de junio de 2023

Hackear Azure Bastion y Azure Container Registry a través de vulnerabilidades XSS

Se ha descubierto que Microsoft Azure Bastion y Azure Container Registry tienen una falla de seguridad potencialmente “peligrosa” que, si se aprovecha, puede haber resultado en un ataque de secuencias de comandos entre sitios (XSS) que se lleva a cabo en el servicio afectado. Los ataques XSS ocurren cuando los actores de amenazas insertan código arbitrario en un sitio web en el que, de otro modo, se confiaría. Este código se ejecuta cada vez que los visitantes que no conocen el ataque visitan el sitio web.

Ambas vulnerabilidades que encontró Orca utilizan una vulnerabilidad en el iframe posterior al mensaje, lo que hace posible que los objetos de Windows se comuniquen entre sí a través de dominios. Las vulnerabilidades permitieron el acceso ilegal a la sesión de la víctima dentro del iframe del servicio de Azure comprometido. Esto puede resultar en repercusiones graves, como el acceso no autorizado a los datos, las alteraciones no autorizadas y la interrupción de los iframes de los servicios de Azure, entre otras cosas. Esto significaba que la vulnerabilidad podría explotarse para incrustar puntos finales en servidores remotos utilizando el elemento iframe. Eventualmente, esto resultaría en la ejecución de un código JavaScript malicioso, que comprometería los datos confidenciales.

Sin embargo, para aprovechar estas vulnerabilidades, un actor de amenazas primero necesitaría realizar un reconocimiento en varios servicios de Azure para identificar los puntos finales vulnerables contenidos dentro de la interfaz de Azure. Es posible que a estos puntos finales les falten encabezados de X-Frame-Options o tengan políticas de seguridad de contenido (CSP) que no sean adecuadas.

El atacante continuará explotando el punto final mal configurado después de haber incrustado con éxito el iframe en un servidor remoto. Se están concentrando en el controlador postMessage, que es responsable de manejar eventos remotos como postMessages.

Posteriormente, el adversario podría construir cargas útiles adecuadas al incorporar el iframe vulnerable en un servidor controlado por un actor (por ejemplo, ngrok) y establecer un controlador de mensaje posterior que entregue la carga útil maliciosa si primero analizaron los mensajes posteriores enviados al iframe desde portal.azure[ .]com y luego analizó los mensajes posteriores enviados desde portal.azure[.]com al iframe.

Debido a esto, cuando se engaña a una víctima para que visite el punto final comprometido, la “carga maliciosa posterior al mensaje se entrega al iframe incrustado, lo que activa la vulnerabilidad XSS y ejecuta el código del atacante dentro del contexto de la víctima”.

Durante el curso de una prueba de concepto (PoC), se descubrió que un postMessage que se había escrito cuidadosamente podría usarse para modificar el exportador SVG de Azure Bastion Topology View o el inicio rápido de Azure Container Registry para llevar a cabo una carga útil XSS.

El cargo Hackear Azure Bastion y Azure Container Registry a través de vulnerabilidades XSS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 14 de junio de 2023

Hackear redes que usan Citrix ShareFile StorageZones Controller usando la vulnerabilidad con puntaje CVSS de 9.1

En el campo en constante cambio de la ciberseguridad, siempre surgen nuevos problemas, lo que requiere una atención rápida y respuestas integrales. Una falla grave en el controlador citrix de zonas de almacenamiento ShareFile administrado por el cliente acaba de salir a la luz como resultado de un descubrimiento reciente y, como resultado, se requiere una corrección inmediata. A esta vulnerabilidad potencialmente peligrosa se le ha asignado el identificador CVE-2023-24489 y se le ha otorgado una puntuación CVSS (Common Vulnerability Scoring System) de 9.1, lo que indica la gravedad del problema. La vulnerabilidad de seguridad tiene el potencial de ser explotada por atacantes no autenticados, lo que les permitiría comprometer de forma remota el controlador de zonas de almacenamiento ShareFile administrado por el cliente. Esta es una posibilidad preocupante para cualquier red que dependa de este sistema. Se ha descubierto que la vulnerabilidad está muy extendida, lo que significa que afecta a todas las versiones de los controladores de zonas de almacenamiento ShareFile administrados por el cliente que actualmente son compatibles pero que son anteriores a la versión 5.11.24. La mera magnitud del impacto de la vulnerabilidad aumenta el sentido de urgencia asociado con la necesidad de implementar contramedidas para proteger las redes que son vulnerables.

Citrix ha respondido rápidamente a la gravedad de este problema tomando medidas rápidas para disminuir el impacto del peligro. Se ha incluido un nuevo parche en la versión 5.11.24 del controlador de zonas de almacenamiento de ShareFile, así como en todas las versiones posteriores. Este parche está destinado a corregir el problema CVE-2023-24489, evitando así posibles compromisos remotos por parte de atacantes no autenticados. Esto se logrará cerrando la puerta.

Además, todos los controladores de zonas de almacenamiento ShareFile administrados por el cliente que operaban en versiones anteriores a la 5.11.24 se han desactivado para proteger a los clientes de Citrix del problema de seguridad que se descubrió. Este paso esencial ayuda a proteger el sistema hasta que el controlador pueda actualizarse a la versión 5.11.24 o una versión posterior, lo que restaurará el controlador de zonas de almacenamiento y reforzará aún más la seguridad del sistema.

El cargo Hackear redes que usan Citrix ShareFile StorageZones Controller usando la vulnerabilidad con puntaje CVSS de 9.1 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 13 de junio de 2023

Hackear el sitio de WooCommerce para obtener detalles de pedidos e información del cliente

La topografía ciberespacio esta en constante cambio y siempre da como resultado la introducción de nuevas fallas y vulnerabilidades de seguridad. Se descubrió una vulnerabilidad importante, que ahora se conoce como CVE-2023-34000 y tiene una puntuación CVSS de 7,5, en el complemento WooCommerce Stripe Gateway, lo que provocó un llamado urgente a la acción tanto para los administradores del sitio como para los especialistas en seguridad. Este complemento, que fue creado por WooCommerce y actualmente se usa en más de 900 000 instalaciones activas, es bien conocido por sus capacidades eficientes para aceptar pagos directamente en negocios en línea y móviles. Los clientes pueden finalizar sus compras sin tener que abandonar el entorno de la tienda en línea gracias a una característica inherente de este complemento. Esto elimina la necesidad de una página de pago alojada externamente.

Sin embargo, una vulnerabilidad de referencia de objeto directo inseguro no autenticado (IDOR) se encuentra detrás de la funcionalidad superficial del complemento. Esta vulnerabilidad, en su condición sin parches, le da a un usuario no autenticado el potencial de obtener información de identificación personal (PII) extremadamente sensible que está asociada con cualquier orden de WooCommerce. Estos datos pueden contener información confidencial, como el nombre completo, la dirección de correo electrónico y la dirección de residencia de un usuario en su forma expuesta.

Seguir el rastro de migas de pan de este agujero de seguridad conduce a la función ‘javascript_params’ que se encuentra dentro del complemento. La variable ‘order_id’ es utilizada por el código incluido dentro de este método para obtener un objeto de pedido. Esta variable se deriva de los parámetros de consulta y, a continuación, recopila información específica del objeto del pedido, como direcciones y detalles completos del usuario. Dentro de este método, hay una falta notable de controles de propiedad del pedido, lo que aumenta sustancialmente el riesgo y hace posible devolver el ‘pedido’ como un objeto. Los expertos descubrieron que la función ‘payment_scripts’ podría usarse para activar la variable ‘javascript_params’. Luego, esta función devuelve una variable de objeto de JavaScript al front-end mediante la función ‘wp_localize_script’. Cuando un usuario visita la página de inicio del sitio web,

Después de un examen más detallado , se encontró una segunda aparición de la vulnerabilidad dentro del método ‘pago_campos’. Esta vulnerabilidad, como la que se encuentra en la función ‘javascript_params’, se deriva del hecho de que no se está verificando la propiedad del pedido. El resultado es el mismo: el front-end tiene acceso tanto a la dirección de correo electrónico de facturación del usuario como a su nombre completo.

WooCommerce ha publicado una actualización para la vulnerabilidad CVE-2023-34000 en la versión 7.4.1, y algunas versiones anteriores también tienen la solución retroportada. En vista de la naturaleza potencialmente grave de la vulnerabilidad, se recomienda encarecidamente a los administradores del sitio y a los expertos en seguridad que aceleren las operaciones de parcheo actualmente en marcha.

El cargo Hackear el sitio de WooCommerce para obtener detalles de pedidos e información del cliente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Universidad alemana apaga todas las computadoras en el campus después de un ataque de ransomware

Tras los acontecimientos que han afectado al menos a media docena de otras instituciones comparables en los últimos meses, la Universidad de Ciencias Aplicadas de Kaiserslautern (HS Kaiserslautern) se ha convertido en la última universidad de habla alemana en ser blanco de un ataque de ransomware. HS Kaiserslautern es una de las principales universidades de ciencias aplicadas del estado de Renania-Palatinado, que se encuentra en la parte occidental de Alemania. También es la institución de habla alemana con énfasis en ciencias aplicadas más reciente en ser atacada por ciberdelincuentes en los últimos meses. Hay alrededor de 6.200 alumnos que asisten a esta institución educativa, y casi todas las instalaciones y servicios que se les brindan han sido interrumpidos. Según un comunicado emitido por la institución, todas las instalaciones de la universidad, incluidos los laboratorios de computación e incluso la biblioteca, “permanecerían cerradas hasta nuevo aviso”.

Como se trata de un ataque de ransomware, las estaciones de trabajo en los lugares de trabajo del personal también pueden verse afectadas; se advirtió a los estudiantes y al personal que no enciendan ninguna de sus computadoras de trabajo. El viernes, la universidad usó una página web de emergencia para informar el problema y decir que “toda su infraestructura de TI  había sido derribada. Esto incluía las cuentas de correo electrónico de la universidad, así como el sistema telefónico.


No está claro quiénes son los delincuentes, ni está claro si la información se tomó de los sistemas de la universidad como parte de un sofisticado esfuerzo de extorsión antes de que los hackers intentaran cifrarla. Además, se desconoce si los piratas informáticos lograron cifrar el material.

El cargo Universidad alemana apaga todas las computadoras en el campus después de un ataque de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 9 de junio de 2023

Nueva vulnerabilidad de día cero en MOVEit Transfer y nube. Apague sus servidores

A medida que más organizaciones declaran violaciones de datos causadas por fallas del programa, el desarrollador de la popular herramienta de transferencia de archivos MOVEit ha revelado que su software tiene una segunda falla que lo hace susceptible a vulnerabilidades.

La empresa de software Progress dijo el viernes que después del descubrimiento de la vulnerabilidad inicial, CVE-2023-34362, la firma de ciberseguridad Huntress ha estado realizando evaluaciones de código del producto MOVEit y ha encontrado un nuevo problema como resultado de sus esfuerzos. El viernes, la empresa anunció la disponibilidad de una solución para la falla e instó a los clientes de MOVEit Transfer a implementar la actualización. La alerta indicó que la vulnerabilidad recién descubierta podría hacer posible que un atacante obtenga acceso no autorizado a la base de datos de MOVEit Transfer, lo que “podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit”.

Esta vulnerabilidad, que aún no tiene una designación CVE, afecta a todas las versiones del producto y podría provocar una brecha de seguridad. Como consecuencia de la vulnerabilidad de MOVEit, varias empresas y organizaciones que se vieron afectadas recientemente revelaron filtraciones de datos. Existe una conexión entre las violaciones de datos que ocurrieron en la BBC, Boots y Aer Lingus, y un evento cibernético que afectó a su proveedor de nómina Zellis.

Mientras tanto, las víctimas identificadas en América del Norte fueron el gobierno de Nueva Escocia y la Universidad de Rochester. Microsoft alertó a Clop el domingo de que era el grupo responsable de los esfuerzos para explotar MOVEit. El miércoles por la mañana, Clop emitió un mensaje de extorsión diciendo que “cientos” de empresas se vieron afectadas y advirtiendo que estas víctimas debían contactar a la pandilla o serían incluidas en el sitio de extorsión de la organización. Microsoft advirtió que Clop estaba detrás de los intentos de explotar MOVEit.

Después de la primera fecha límite del 12 de junio, que se indicó en la publicación de la pandilla, los delincuentes amenazaron con que “publicaremos su nombre en esta página”, sin embargo, el plazo finalmente se trasladó al 14 de junio. Aunque no se proporcionó la explicación de la demora. , Joe Tidy de la BBC señaló que el 12 de junio es feriado en la Federación Rusa, por lo que esa puede haber sido la causa.

Un adversario podría potencialmente comprometer la base de datos de MOVEit al enviar una carga especialmente construida a un punto final de la aplicación de transferencia de MOVEit, lo que luego resultaría en la modificación o divulgación del contenido de la base de datos de MOVEit. Se requiere que los clientes de MOVEit Transfer descarguen e instalen el parche más reciente, que estuvo disponible el 9 de junio de 2023. La investigación aún está en curso, sin embargo, en este momento no hay señales que sugieran que alguna de estas vulnerabilidades encontradas recientemente haya sido explotado. Según la empresa, todos los clústeres de MOVEit Cloud ya han sido parcheados contra estas vulnerabilidades recién descubiertas para protegerlos de cualquier posible ataque que pueda lanzarse contra ellos.

El cargo Nueva vulnerabilidad de día cero en MOVEit Transfer y nube. Apague sus servidores apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 8 de junio de 2023

Nueva técnica indetectable permite hackear grandes empresas usando ChatGPT

Según los hallazgos de un estudio reciente realizado, los códigos dañinos pueden propagarse fácilmente a los entornos de desarrollo con la ayuda de ChatGPT , que pueden utilizar los atacantes. En una publicación de blog, los investigadores de Vulcan Cyber ​​describieron un método novedoso para propagar códigos maliciosos que llamaron “alucinación de paquetes de IA”. El método se concibió como resultado de ChatGPT y otros sistemas generativos de inteligencia artificial que proporcionan fuentes, enlaces, blogs y datos fantasmagóricos en respuesta a las solicitudes de los usuarios en ocasiones. Los modelos de lenguaje grande (LLM) como ChatGPT son capaces de generar “alucinaciones”, que son URL ficticias, referencias e incluso bibliotecas de código completo y funciones que no existen en el mundo real. Según los investigadores, ChatGPT incluso producirá parches dudosos para CVE y, en este caso particular, brindará enlaces a bibliotecas de códigos que ni siquiera existen.

Si ChatGPT produce bibliotecas de códigos falsos (paquetes), entonces los atacantes pueden explotar estas alucinaciones para diseminar paquetes dañinos sin utilizar tácticas comunes como typosquatting o enmascaramiento, según los investigadores de Vulcan Cyber ​​que trabajaron en este estudio. “Esas técnicas son sospechosas y ya detectables”, afirmaron los investigadores en su conclusión. Sin embargo, si el atacante puede construir un paquete que pueda reemplazar los programas ‘falsos’ sugeridos por ChatGPT, entonces puede convencer a la víctima de que descargue e instale el software malicioso.

 Este enfoque de ataque de ChatGPT demuestra cuán simple se ha vuelto para los actores de amenazas utilizar ChatGPT como una herramienta para llevar a cabo un ataque. Deberíamos esperar seguir viendo riesgos como este asociados con la IA generativa y que técnicas de ataque similares podrían usarse en la naturaleza. . Esto es algo para lo que debemos estar preparados. La tecnología detrás de la inteligencia artificial generativa aún está en pañales, por lo que esto es solo el comienzo. Cuando se ve a través de la lente de la investigación, es posible que nos encontremos con una gran cantidad de nuevos descubrimientos de seguridad en los meses y años venideros. Las empresas nunca deben descargar y ejecutar código que no entiendan y que no hayan evaluado. Esto incluye ejecutar código desde repositorios GitHub de código abierto o ahora sugerencias de ChatGPT.

ChatGPT está siendo utilizado como método de entrega por los adversarios en este caso. Sin embargo, el método de comprometer una cadena de suministro haciendo uso de bibliotecas compartidas o importadas de un tercero no es nuevo. La única forma de defenderse sería aplicar métodos de codificación seguros, así como probar y revisar exhaustivamente el código destinado a su uso en entornos de producción.

Según los expertos , “el escenario ideal es que los investigadores de seguridad y los editores de software también puedan hacer uso de la IA generativa para hacer que la distribución de software sea más segura”. La industria se encuentra en las primeras fases del uso de IA generativa para ciberataques y defensa.

El cargo Nueva técnica indetectable permite hackear grandes empresas usando ChatGPT apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

El nuevo ataque de ingeniería social de Kimsuky puede usarse para hackear a cualquiera

Investigadores de SentinelLabs encontraron un esfuerzo de ingeniería social dirigido a especialistas en temas de Corea del Norte que fue llevado a cabo por una organización de amenazas persistentes avanzadas (APT) con vínculos con Corea del Norte. El grupo APT concentra principalmente sus ataques en organizaciones y think tanks ubicados en Corea del Sur; sin embargo, también se han cobrado víctimas en Estados Unidos, Europa y Rusia. Los atacantes distribuyeron malware conocido como ReconShark, que se reveló recientemente como una herramienta de reconocimiento. El ataque tiene la intención de implementar malware de reconocimiento, así como robar las credenciales de Google y las credenciales de suscripción de un servicio de noticias y análisis de renombre que se enfoca en Corea del Norte. En 2013, un investigador de Kaspersky fue quien descubrió a la banda de ciberespionaje conocida como Kimsuky(también conocido como ARCHIPIÉLAGO, Black Banshee, Thallium, Velvet Chollima y APT43). A fines de octubre de 2020, el Equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT) emitió un informe sobre las operaciones recientes de Kimusky. El estudio incluyó información sobre las TTP y la infraestructura utilizada por Kimusky.

La campaña más reciente dirigida por la organización respaldada por el estado Kimsuky se centró en las agendas nucleares entre China y Corea del Norte. Estas agendas son pertinentes al conflicto que ahora está teniendo lugar entre Rusia y Ucrania.

Los actores de amenazas se involucran en un contacto prolongado por correo electrónico con las víctimas y emplean documentos armados además de URL falsas, sitios web que se asemejan a plataformas en línea acreditadas y sitios web falsos. El esfuerzo se centra en la adquisición fraudulenta de cuentas de correo electrónico y credenciales de suscripción a NK News. Según el tipo de malware que se usó, la infraestructura de ataque y los TTP, SentinelLabs determinó que Kimsuky llevó a cabo la campaña.

“La concentración de Kimsuky en hacer el primer contacto y formar una relación con sus objetivos antes de comenzar acciones dañinas es una característica definitoria de la actividad. “Como parte de su estrategia de contacto inicial, el grupo se hizo pasar por Chad O’Carroll, el fundador de NK News y el holding asociado Korea Risk Group, usando un dominio creado por un atacante, nknews[.]pro, que se parece mucho al legítimo NK Dominio de noticias nknews.org.” El grupo se hizo pasar por Chad O’Carroll, el fundador de NK News y el holding asociado Korea Risk Group”, se lee en el informe. El primer correo electrónico solicita comentarios sobre una versión preliminar de un ensayo que examina el peligro que presenta el programa nuclear de Corea del Norte.

https://www.securitynewspaper.com/2022/08/29/sharpext-rat-surreptitiously-read-and-download-emails-and-attachments-from-infected-users-gmail-and-aol-accounts/embed/#?secret=zoGCLn89WR#?secret=2kkaF3II1s

Los investigadores vieron a Kimsuky enviar un mensaje de spear phishing estructurado en HTML. El mensaje pedía a los destinatarios que estudiaran un borrador de análisis del peligro nuclear que presenta Corea del Norte. El correo electrónico se hace pasar por miembros del liderazgo de NK News y no incluye ningún contenido peligroso; su propósito es provocar un diálogo posterior entre el receptor y el emisor. Después de que el grupo de APT haya involucrado con éxito al objetivo en la discusión, finalmente enviará un correo electrónico de seguimiento al objetivo con una URL que conduce a un documento de Google.

Los actores del estado-nación hacen un seguimiento con un correo electrónico de recordatorio en caso de que el receptor no responda a su primer mensaje en un esfuerzo por entablar un diálogo con el objetivo. Los atacantes engañaron a los usuarios cambiando el destino de la URL modificando el href HTML atributo para ir a un sitio web que estaba bajo el control de los atacantes.

La URL que se muestra conduce a un documento que se publica en Google Docs y analiza el problema del peligro nuclear que representa Corea del Norte. Este artículo ha sido editado de manera que parece ser un borrador auténtico al incluir revisiones que son evidentes para el lector. El destino de la URL ha sido falsificado para que lleve a la víctima a un sitio web propiedad de Kimsuky que pretende ser un sitio oficial de Google Docs y permite a los usuarios buscar acceso a los documentos. Después de que el grupo de APT haya involucrado con éxito al objetivo en la discusión, finalmente enviará un correo electrónico de seguimiento al objetivo con una URL que conduce a un documento de Google. Durante sus conversaciones con las víctimas, los investigadores vieron que los actores de amenazas estaban pasando documentos de Office armados y protegidos con contraseña.

El cargo El nuevo ataque de ingeniería social de Kimsuky puede usarse para hackear a cualquiera apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 7 de junio de 2023

Sí, es posible hackear a través del navegador Chrome, Brave, Opera usando esta vulnerabilidad

Se descubrió que el navegador web más utilizado en el mundo, Google Chrome, tiene una vulnerabilidad crítica de día cero que se ha explotado activamente en la naturaleza. Confirmando la gravedad del peligro, Google envió rápidamente correcciones a las versiones de escritorio del navegador Chrome el martes para cerrar la vulnerabilidad de seguridad descubierta en el navegador. La vulnerabilidad detectada, a la que se le ha asignado el identificador oficial CVE-2023-3079, provoca motivo de preocupación debido a la posibilidad de que los actores de amenazas lo exploten. El problema se origina en lo que se conoce como una “confusión de tipos” en el motor JavaScript de código abierto V8 que Google creó específicamente para el navegador web Chrome. En esencia, la confusión de tipos puede hacer que el programa interprete incorrectamente el tipo de datos que está procesando, lo que puede dar lugar a acciones inesperadas y posiblemente peligrosas, como el acceso no autorizado al sistema o la filtración de información confidencial.


El hecho de que se abusara activamente de la vulnerabilidad en la naturaleza le da un tono siniestro al descubrimiento reciente, a pesar de que es un alivio que se haya descubierto la vulnerabilidad. Las vulnerabilidades de día cero explotadas activamente son un peligro de primer nivel en el mundo cibernético. Esto se debe al hecho de que ofrecen amenazas del mundo real antes de que los desarrolladores tengan la oportunidad de prevenirlas. “Google es consciente de que existe un exploit para CVE-2023-3079”, señala la empresa. “Google está trabajando para solucionar este problema”.

Clément Lecigne, miembro del Threat Analysis Group (TAG) de Google, es a quien se le atribuye el descubrimiento de la vulnerabilidad. El Grupo de Análisis de Amenazas (TAG), que está compuesto por los expertos en seguridad más destacados de Google, ha estado a la vanguardia de los esfuerzos de Google para detectar y combatir las ciberamenazas. El 1 de junio de 2023, Lecigne, conocido por su experiencia en ciberforense, reveló la vulnerabilidad.

Como reacción directa a este riesgo inminente, Google ha distribuido versiones actualizadas de Chrome para una variedad de sistemas operativos. Se recomienda encarecidamente a los usuarios que actualicen sus navegadores Chrome a la versión 114.0.5735.106 para macOS y Linux, y a la versión 114.0.5735.110 para Windows. Estas actualizaciones están disponibles. Es imperativo que le dé alta prioridad a esta actualización para mantener el más alto nivel de seguridad de navegación posible.

Los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, también deben prestar atención a esta advertencia. Debido a que su código básico es similar, es posible que ambos navegadores estén sujetos al mismo problema. Como resultado de esto, se recomienda encarecidamente a los usuarios que instalen correcciones tan pronto como estén disponibles para protegerse de posibles peligros.

El cargo Sí, es posible hackear a través del navegador Chrome, Brave, Opera usando esta vulnerabilidad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente